Novo leto prinaša tako nove kot tudi vztrajne izzive na področju kibernetske varnosti. Ti ključni projekti bi morali biti na vrhu seznama prednostnih nalog vsakega CISO-ja v letu 2025.

Ko vstopamo v leto 2025, se CISO-ji soočajo z neizogibno resničnostjo – boj proti kibernetskim napadalcem se nikoli ne konča. Močni in dobro premišljeni projekti kibernetske varnosti so najboljši način, kako ostati korak pred napadalci in preprečiti, da bi ti pridobili prednost.

“Nujnost je mantra za leto 2025,” pravi Greg Sullivan, ustanovni partner podjetja CIOSO Global, specializiranega za storitve kibernetske varnosti. “Vprašanje ni, ali boste doživeli vdor, ampak kdaj boste doživeli vdor.” Zaradi tega Sullivan verjame, da je ublažitev tveganj ključna. “To je mogoče doseči le z jasnim postavljanjem ciljev in nenehnim izboljševanjem varnostne drže organizacije.”

Tukaj je pregled ključnih projektov kibernetske varnosti, ki bi jih moral vsak CISO obravnavati v letu 2025.

1. Zagotavljanje varnosti pri uvajanju umetne inteligence in povezanih podatkov

V zadnjem letu je umetna inteligenca (UI) preoblikovala celotne industrije. Da bi bile organizacije v letu 2025 uspešne, mora biti zaščita UI rešitev in podatkov, ki jih obdelujejo, ena izmed glavnih prednostnih nalog, pravi Archana Ramamoorthy, višja direktorica za regulirane in zaupanja vredne oblačne storitve pri Google Cloud.

“Medtem ko se tradicionalni varnostni ukrepi osredotočajo na podatke v mirovanju in med prenosom, rastoča odvisnost od UI in potreba po varni sodelovalni rabi poudarjata ključno potrebo po zaščiti podatkov med uporabo,” poudarja. “S postavitvijo varnih UI pobud v ospredje lahko organizacije zaščitijo svoje najbolj občutljive podatke in okrepijo zaupanje v UI modele na splošno.”

Organizacije se pomikajo proti agentni UI, kjer UI sistemi pomagajo uporabnikom pri zapletenih nalogah, kot so načrtovanje, raziskovanje, ustvarjanje vsebine in izvajanje ukrepov. Zaradi tega postajajo robustni varnostni ukrepi vse pomembnejši. Brez varne UI in natančnih podatkov organizacije ne tveganju le operativnih neuspehov, temveč tudi resne varnostne incidente.

Kako zagotoviti varno uporabo UI:

• Varnostni timi bi morali najprej pridobiti pregled nad uporabo UI v podjetju, pa tudi nad podatki in modeli, ki podpirajo poslovanje.
• “Naslednji korak je sestaviti medfunkcionalno ekipo za oceno tveganj in razvoj celovite varnostne strategije,” svetuje Ramamoorthy.
• Sprejetje varnostnega okvira za UI bo pomagalo vzpostaviti močno varnostno podlago in zagotoviti, da bodo UI modeli privzeto varni.

2. Uvajanje upravljanja tveganj tretjih oseb (TPRM)

Upravljanje tveganj tretjih oseb (TPRM) postaja osrednja kibernetska strategija, pravi Ben Saine, glavni svetovalec pri raziskovalnem in svetovalnem podjetju ISG.

“Vrednosti TPRM ni mogoče preceniti,” poudarja. “Postavitev TPRM na vrh prioritet bo ključna za zaščito podjetja pred številnimi grožnjami, ki jih predstavljajo zunanji ponudniki in partnerji.”

Učinkovit TPRM projekt omogoča podjetju boljšo varnostno držo, manj ranljivosti in proaktivno obvladovanje zunanjih tveganj. Ključni elementi:

• Nenehno spremljanje tveganj in odziv na nove grožnje.
• Zagotavljanje skladnosti s predpisi, kar zmanjšuje tveganje kazni in pravnih težav.
• Povečanje zaupanja strank in partnerjev z boljšo transparentnostjo in varnostnimi praksami.

3. Zaščita podatkov pred izpostavljenostjo orodjem umetne inteligence tretjih oseb

Tretje osebe vse bolj uporabljajo UI za izboljšanje poslovnih procesov, a brez robustne zaščite podatkov organizacije tvegajo izpostavitev ključnih virov kršitvam varnosti in neusklajenosti s predpisi, opozarja Dan Glass, CISO pri NTT DATA North America.

“Rast uporabe UI bo ločila podjetja, ki bodo z varno implementacijo dosegla konkurenčno prednost, od tistih, ki bodo zaradi pomanjkljive zaščite utrpela katastrofalne posledice,” pravi.

Glavne varnostne zahteve:

• Pregled nad dostopom do podatkov v UI orodjih tretjih oseb.
• Uvedba šifriranja, nadzora dostopa in stalnega spremljanja.

4. Usklajevanje skladnosti z enotno strategijo upravljanja tveganj

CISO-ji imajo največjo odgovornost pri skladnosti z zakonodajo. Michael Fanning, CISO pri Splunk, svetuje, da bi morali CISO-ji in CIO-ji sodelovati s pravnimi oddelki pri razvoju varnostnih politik in prioritet.

“Uspešna partnerstva bodo temeljila na skupnih nadzornih ploščah in orodjih za poročanje,” pravi. “To bo omogočilo hiter odziv na nove regulatorne zahteve.”

5. Vzpostavitev celovitega pregleda nad sredstvi in močnim upravljanjem oblaka

Po mnenju Jima Broomea, CTO pri DirectDefense, so organizacije še vedno v težavah, ker ne vedo natančno, kje so njihova sredstva in podatki.

“Ne morete zaščititi nečesa, česar ne morete identificirati,” opozarja. “Ne glede na to, ali so podatki v oblaku, na lokaciji ali hibridno, ste odgovorni za njihovo varnost.”

6. Implementacija principa zaupanja po zasnovi (Trust-by-Design)

Vikram Kunchala, vodja kibernetskih rešitev pri Deloitte, meni, da morajo podjetja v letu 2025 dati prednost principu zaupanja po zasnovi. “Varnost mora biti vgrajena že od začetka razvoja, ne kot naknadna misel,” poudarja.

7. Vzpostavitev celostne kibernetske shrambe podatkov

Namesto da je shranjevanje podatkov pasivni proces, morajo podjetja oblikovati napredne kibernetske platforme, ki vključujejo aktivne varnostne funkcije, pravi Aron Brand, CTO pri CTERA.

“Ponovno razmišljanje o shranjevanju podatkov zmanjšuje varnostna tveganja in povečuje odpornost proti sofisticiranim grožnjam,” pravi.

Zaključek

Leto 2025 bo prineslo številne izzive, a podjetja, ki bodo proaktivno sprejela nove varnostne strategije, bodo bolje pripravljena na prihodnje grožnje. Ključ do uspeha? Neprestana prilagodljivost, robustna varnostna strategija in sodelovanje med oddelki.

Članek je prevod originalnega zapisa avtorja Johna Edwardsa, ki je svoja razmišljanja na osnovi pridobljenih podatkov iz različnih virov podal na spletnem portalu CSO ONLINE. Vsebina originalnega zapisa je na voljo s klikom na to povezavo